2025年P(guān)ython二級考試模擬試題集程序安全防護版考試時間：______分鐘總分：______分姓名：______一、選擇題1.以下哪種類型的攻擊主要利用網(wǎng)頁上的輸入字段，將惡意腳本注入到其他用戶的瀏覽器中執(zhí)行？A.CSRF(Cross-SiteRequestForgery)B.SQL注入C.跨站腳本（XSS）D.權(quán)限提升2.在Python中，如果需要對用戶輸入進行轉(zhuǎn)義以防止XSS攻擊，以下哪種方法通常被認為是有效的？A.直接將用戶輸入嵌入到HTML標簽中，不進行任何處理。B.使用`html.escape()`函數(shù)對用戶輸入進行轉(zhuǎn)義。C.對用戶輸入進行嚴格的白名單過濾，只允許特定字符通過。D.使用`str.replace()`方法刪除用戶輸入中的特殊字符。3.當(dāng)在Web應(yīng)用中使用數(shù)據(jù)庫時，防止SQL注入攻擊的最佳實踐是？A.對所有用戶輸入進行嚴格的長度限制。B.使用存儲過程來執(zhí)行所有數(shù)據(jù)庫操作。C.僅對管理員使用的接口進行SQL注入防護。D.使用參數(shù)化查詢（PreparedStatements）或ORM（對象關(guān)系映射）框架。4.以下哪項不是常見的跨站請求偽造（CSRF）攻擊的特征？A.攻擊者誘導(dǎo)用戶在已認證的網(wǎng)站上執(zhí)行非用戶意圖的操作。B.攻擊通常依賴于用戶會話憑證。C.攻擊者可以繞過網(wǎng)站的訪問控制機制。D.攻擊者需要獲取用戶的密碼才能實施攻擊。5.在Python中，如果需要安全地存儲密碼，推薦使用哪種哈希算法，并輔以什么技術(shù)？A.MD5+鹽值（Salt）B.SHA-1+摩斯密碼C.bcrypt或Argon2+鹽值（Salt）D.DES+密鑰協(xié)商6.以下哪個Python庫通常用于提供HTTPS連接，以加密客戶端和服務(wù)器之間的通信？A.`sqlite3`B.`pandas`C.`requests`(配合`https`協(xié)議)D.`tkinter`7.在處理文件上傳功能時，為防止文件包含（FileInclusion）漏洞，以下哪項措施是重要的？A.限制允許上傳的文件類型為圖片格式。B.對上傳文件的名稱和路徑進行嚴格驗證和轉(zhuǎn)義，避免使用用戶提供的原始文件名構(gòu)建路徑。C.僅允許來自特定IP地址的上傳請求。D.為上傳目錄設(shè)置寫權(quán)限，方便用戶上傳。8.以下哪種Python代碼片段存在明顯的注入風(fēng)險？```pythonimportsqlite3conn=sqlite3.connect('example.db')cursor=conn.cursor()user_input=input("EnterID:")cursor.execute("SELECT*FROMusersWHEREid="+user_input)#不安全的代碼```9.在Web應(yīng)用中，設(shè)置HTTPOnly和Secure標志對于管理會話Cookie的主要目的是什么？A.提高Cookie的傳輸速度。B.增強Cookie的機密性和防止客戶端腳本訪問。C.允許Cookie在HTTP和HTTPS之間自動切換。D.使Cookie只能由服務(wù)器端腳本修改。10.對稱加密算法和公鑰加密算法（非對稱加密）的主要區(qū)別在于？A.對稱加密速度更快，公鑰加密更慢。B.對稱加密使用一個密鑰，公鑰加密使用一對密鑰（公鑰和私鑰）。C.對稱加密主要用于加密大量數(shù)據(jù)，公鑰加密主要用于數(shù)字簽名。D.對稱加密需要信任第三方，公鑰加密不需要。二、判斷題1.對所有用戶輸入進行徹底的消毒（Sanitization）是防止所有Web安全漏洞的有效方法。（）2.使用HTTPS協(xié)議可以完全消除所有網(wǎng)絡(luò)層面的安全風(fēng)險。（）3.在Python中，使用`repr()`函數(shù)處理用戶輸入通常比`str()`函數(shù)更能防止XSS攻擊。（）4.將敏感配置信息（如數(shù)據(jù)庫密碼）硬編碼在Python源代碼中是安全的，只要代碼不被泄露。（）5.SQL注入攻擊無法針對使用ORM框架開發(fā)的Web應(yīng)用。（）6.使用強密碼策略（長度、復(fù)雜度要求）是保護用戶賬戶安全的第一道防線。（）7.Cookie的HttpOnly標志可以防止Cookie被JavaScript的`document.cookie`屬性訪問。（）8.任何涉及網(wǎng)絡(luò)通信的應(yīng)用都應(yīng)考慮使用TLS/SSL加密數(shù)據(jù)傳輸。（）9.使用bcrypt對密碼進行哈希時，即使鹽值（Salt）相同，對于同一個密碼，每次生成的哈希值也應(yīng)該是不同的。（）10.文件上傳功能默認就是安全的，只要限制了文件擴展名即可。（）三、填空題1.跨站腳本（XSS）攻擊主要利用了Web應(yīng)用__________用戶輸入而未經(jīng)恰當(dāng)處理，將其作為惡意腳本發(fā)送給其他用戶的機制。2.為了防止跨站請求偽造（CSRF），可以采用__________Token機制來驗證請求的合法性。3.在Python中，可以使用內(nèi)置的__________庫來提供簡單的對稱加密和解密功能。4.安全地存儲密碼通常推薦使用哈希算法，如__________，并必須結(jié)合__________使用，以抵抗彩虹表攻擊和增加破解難度。5.當(dāng)使用Python進行文件操作（如讀取文件內(nèi)容）時，如果文件路徑包含用戶輸入，應(yīng)使用__________函數(shù)來處理，避免路徑遍歷漏洞。6.HTTPS協(xié)議通過在HTTP層和__________層之間加入SSL/TLS協(xié)議來提供數(shù)據(jù)傳輸?shù)募用芎蜕矸蒡炞C。7.對象關(guān)系映射（ORM）框架可以通過__________的方式，減少直接編寫SQL語句，從而降低SQL注入的風(fēng)險。8.在設(shè)計Web應(yīng)用時，遵循__________原則，例如輸入驗證、輸出編碼、最小權(quán)限原則等，是提高應(yīng)用安全性的重要措施。9.如果一個Cookie設(shè)置了Secure標志，那么它只能通過__________協(xié)議（而非HTTP）發(fā)送給服務(wù)器。10.常見的Web安全威脅列表OWASPTop10中，與身份認證和會話管理相關(guān)的風(fēng)險，如身份泄露、會話固定、會話劫持等，都屬于程序安全防護的范疇。四、簡答題1.簡述SQL注入攻擊的基本原理，并列出至少三種在Python應(yīng)用中預(yù)防SQL注入的有效方法。2.什么是跨站腳本（XSS）攻擊？請說明反射型XSS和存儲型XSS的區(qū)別，并簡述防御反射型XSS的基本思路。3.解釋什么是“鹽值（Salt）”，它在密碼哈希過程中起到什么作用？為什么僅僅使用強哈希算法（如bcrypt）而不加鹽也是不安全的？4.在Web應(yīng)用中實現(xiàn)文件上傳功能時，需要考慮哪些主要的安全風(fēng)險？請列舉至少三項關(guān)鍵的安全防護措施。五、編程題1.編寫一個Python函數(shù)，該函數(shù)接收一個字符串（密碼）和一個鹽值（隨機生成的字符串），使用`hashlib`庫中的`pbkdf2_hmac`函數(shù)對其進行哈希處理。要求使用SHA-256作為哈希算法，迭代次數(shù)設(shè)置為100000次。函數(shù)應(yīng)返回生成的哈希值（以十六進制字符串形式）。請確保代碼中包含必要的錯誤處理。2.假設(shè)你需要編寫一個簡單的Web應(yīng)用片段，用于處理用戶輸入并顯示結(jié)果。該片段需要接收一個參數(shù)`user_input`。請寫出處理該輸入并顯示在HTML頁面中的代碼片段。為了防止XSS攻擊，你的代碼必須包含對`user_input`進行轉(zhuǎn)義處理的步驟?？梢约僭O(shè)你的應(yīng)用環(huán)境已經(jīng)支持某種方式（如模板引擎或手動轉(zhuǎn)義函數(shù)）來安全地顯示變量。試卷答案一、選擇題1.C解析：跨站腳本（XSS）攻擊利用網(wǎng)頁輸入字段注入惡意腳本。CSRF是偽造用戶請求，SQL注入是攻擊數(shù)據(jù)庫，權(quán)限提升是獲取更高權(quán)限。2.B解析：`html.escape()`會將特殊字符轉(zhuǎn)換為HTML實體，防止瀏覽器將其作為腳本執(zhí)行。C選項是白名單過濾，D選項刪除特殊字符可能不徹底或不安全。A選項直接嵌入非常危險。3.D解析：參數(shù)化查詢和ORM能將代碼與SQL邏輯分離，防止惡意SQL注入。A選項限制長度有限制，B選項存儲過程也可能被繞過，C選項只保護部分接口無效。4.D解析：CSRF攻擊利用用戶已認證狀態(tài)，無需密碼。A、B、C都是其特征。獲取密碼通常是暴力破解或phishing的手段。5.C解析：bcrypt和Argon2是專門為密碼哈希設(shè)計的算法，計算緩慢，抗暴力破解能力強，且必須使用鹽值增加安全性。MD5和SHA-1已不推薦用于密碼存儲，摩斯密碼和DES不適用于現(xiàn)代密碼學(xué)。6.C解析：`requests`庫是常用的HTTP客戶端，使用`https://`協(xié)議即可建立加密連接。A是數(shù)據(jù)庫，B是數(shù)據(jù)分析，D是GUI庫。7.B解析：嚴格驗證和轉(zhuǎn)義用戶提供的文件名/路徑是防止文件包含漏洞的關(guān)鍵。A、C、D的措施不夠全面或根本無效。8.B解析：直接將用戶輸入拼接到SQL查詢字符串中，用戶可以注入惡意SQL代碼執(zhí)行。這是典型的SQL注入風(fēng)險。9.B解析：HTTPOnly防止JavaScript通過`document.cookie`訪問Cookie，Secure標志確保Cookie僅通過HTTPS傳輸，都增強了安全性。10.B解析：對稱加密使用同一個密鑰加密和解密。公鑰加密使用一對密鑰，公鑰加密/解密，私鑰加密/解密。A、C、D描述不準確。二、判斷題1.×解析：消毒（Sanitization）只能移除已知的不良字符，而驗證（Validation）檢查輸入是否符合預(yù)期格式。攻擊者可能繞過消毒。更安全的做法是驗證和轉(zhuǎn)義。2.×解析：HTTPS解決傳輸加密和服務(wù)器認證問題，但不能防止DDoS、中間人攻擊（如果客戶端未正確驗證證書）、業(yè)務(wù)邏輯漏洞等。3.√解析：`repr()`函數(shù)產(chǎn)生字符串的“官方”表示形式，通常會轉(zhuǎn)義特殊字符（如`<`變?yōu)閌<`），適合用于調(diào)試輸出或HTML顯示。`str()`函數(shù)處理則可能直接輸出。4.×解析：硬編碼敏感信息是巨大安全隱患，一旦代碼泄露，密碼等敏感信息將完全暴露。5.×解析：ORM通過抽象SQL，雖然能顯著降低低級SQL注入風(fēng)險，但若用戶輸入不當(dāng)，ORM仍可能生成有風(fēng)險的SQL，或者在調(diào)用特定方法時暴露風(fēng)險。并非完全免疫。6.√解析：強密碼是基礎(chǔ)，能有效增加破解難度，是賬戶安全的第一道重要防線。7.√解析：HttpOnly標志專門用于防止客戶端腳本訪問Cookie，提升了Cookie的機密性。8.√解析：任何傳輸敏感信息或涉及身份認證的網(wǎng)絡(luò)通信，都應(yīng)使用TLS/SSL加密，以防止竊聽和中間人攻擊。9.√解析：`pbkdf2_hmac`等現(xiàn)代密碼哈希函數(shù)設(shè)計時考慮了迭代和鹽值，即使相同密碼+鹽值，因隨機鹽值和迭代次數(shù)，每次生成的哈希值都不同且難以預(yù)測。10.×解析：文件上傳默認風(fēng)險極高。除了限制擴展名，還需要嚴格驗證文件內(nèi)容類型（MIMEtype）、檢查文件頭、限制上傳大小和目錄、使用隨機文件名存儲等。三、填空題1.未正確處理解析：XSS的核心在于Web應(yīng)用沒有對用戶輸入進行充分處理（過濾、轉(zhuǎn)義）就直接輸出到頁面。2.CSRF解析：CSRFToken（也常稱為SynchronizerToken）是驗證請求是否來自用戶本人的一種常見機制。3.`cryptography`解析：`cryptography`是一個強大的Python庫，包含對稱加密（Fernet）、非對稱加密、哈希、簽名等多種密碼學(xué)原語。4.bcrypt或Argon2,鹽值（Salt）解析：bcrypt和Argon2是現(xiàn)代推薦密碼哈希算法。鹽值是隨機數(shù)據(jù)，用于與密碼結(jié)合，防止彩虹表攻擊，并使相同密碼產(chǎn)生不同哈希。5.`os.path.join`或`pathlib.Path`的方法解析：這些函數(shù)能安全地構(gòu)建跨平臺的文件路徑，避免將用戶輸入直接用于路徑操作，從而防止路徑遍歷。6.TCP解析：HTTPS建立在HTTP之上，而HTTP運行在TCP協(xié)議之上。SSL/TLS協(xié)議工作在TCP層和應(yīng)用層之間。7.參數(shù)化查詢或ORM(對象關(guān)系映射)解析：兩者都能將SQL代碼與數(shù)據(jù)分離，避免將用戶輸入直接嵌入SQL，是預(yù)防SQL注入的關(guān)鍵技術(shù)。8.安全編碼解析：安全編碼是一系列在開發(fā)過程中遵循的最佳實踐，旨在編寫更安全的軟件，涵蓋輸入輸出、權(quán)限、錯誤處理等多個方面。9.HTTPS解析：Secure標志指示瀏覽器僅通過HTTPS（加密）連接發(fā)送Cookie。10.身份認證和會話管理解析：OWASPTop10中關(guān)于認證和會話管理的風(fēng)險（如A01:2021-BrokenAuthentication）直接影響程序安全。四、簡答題1.答：SQL注入攻擊是攻擊者將惡意SQL代碼注入到應(yīng)用程序的輸入中，使得應(yīng)用程序執(zhí)行了非預(yù)期的數(shù)據(jù)庫操作（如查詢、修改、刪除數(shù)據(jù)甚至破壞數(shù)據(jù)庫）?；驹硎菓?yīng)用程序未對用戶輸入進行有效過濾或轉(zhuǎn)義，導(dǎo)致輸入被數(shù)據(jù)庫解釋為SQL代碼的一部分。預(yù)防方法：*使用參數(shù)化查詢（PreparedStatements）：將SQL代碼和參數(shù)分開處理，數(shù)據(jù)庫引擎會區(qū)分它們，防止注入。*使用ORM框架：ORM將SQL操作抽象化，通常內(nèi)置了防止注入的機制。*對用戶輸入進行嚴格驗證：確保輸入符合預(yù)期的格式（如數(shù)字、特定字符集），拒絕不符合格式的輸入。*對輸出進行轉(zhuǎn)義：如果必須將用戶輸入直接嵌入SQL（不推薦），確保使用數(shù)據(jù)庫提供的轉(zhuǎn)義函數(shù)進行轉(zhuǎn)義。2.答：跨站腳本（XSS）攻擊是一種攻擊技術(shù)，攻擊者將惡意腳本注入到網(wǎng)頁中，當(dāng)其他用戶瀏覽該網(wǎng)頁時，惡意腳本會在用戶的瀏覽器中執(zhí)行，從而竊取用戶信息、會話憑證或進行其他惡意操作。類型區(qū)別：*反射型XSS：惡意腳本通過URL參數(shù)等反射到瀏覽器。用戶需要點擊包含惡意腳本的鏈接才能觸發(fā)。腳本通常存儲在服務(wù)器上，每次請求都反射出來。*存儲型XSS：惡意腳本被服務(wù)器永久存儲（如數(shù)據(jù)庫、留言板）。當(dāng)其他用戶瀏覽包含該腳本的頁面時被觸發(fā)。危害通常更大。防御反射型XSS思路：*驗證輸入：確保輸入不包含HTML標簽、JavaScript代碼等。*轉(zhuǎn)義輸出：在將用戶輸入顯示在HTML頁面時，使用HTML實體編碼（如`<`轉(zhuǎn)義為`<`）或使用框架提供的自動轉(zhuǎn)義功能，防止瀏覽器將輸入作為腳本執(zhí)行。3.答：鹽值（Salt）是一個隨機生成的、與密碼本身無關(guān)的字符串，它在密碼哈希過程中與密碼組合在一起進行哈希計算。其作用主要有：*防止彩虹表攻擊：即使兩個用戶使用相同密碼，由于鹽值不同，最終的哈希值也會完全不同，攻擊者無法使用預(yù)先計算的彩虹表直接查找哈希值。*增加破解難度：每次哈希都使用不同的鹽值（即使是同一用戶注冊時生成的鹽值也不同），使得暴力破解或字典攻擊需要為每個哈希值單獨計算，效率大大降低。*增強唯一性：確保即使兩個不同的密碼哈希值相同，它們也不會因為使用了相同的鹽值而變得相同。僅僅使用強哈希算法（如bcrypt）而不加鹽也是不安全的，因為：*無法有效抵抗彩虹表攻擊。*相同密碼在不同用戶處可能生成相同（或極易推斷出）的哈希值，增加碰撞風(fēng)險。*破解效率相對較高。4.答：文件上傳功能的主要安全風(fēng)險包括：*上傳惡意文件：用戶上傳包含腳本（如PHP、ASPX、JSP腳本）的文件，服務(wù)器以執(zhí)行該文件，導(dǎo)致服務(wù)器被控制或網(wǎng)站被篡改。*路徑遍歷/目錄遍歷：用戶上傳的文件名包含`../`等序列，試圖訪問服務(wù)器上其他目錄或敏感文件。*文件類型混淆：用戶上傳偽裝成安全文件類型（如`.jpg`）的實際惡意文件（如`.jpg.php`），服務(wù)器可能按偽裝類型處理。*服務(wù)器資源耗盡：用戶上傳極大的文件，耗盡服務(wù)器磁盤空間、內(nèi)存或帶寬。*文件內(nèi)容不當(dāng)：上傳包含病毒、木馬等惡意代碼的文件。關(guān)鍵的安全防護措施：*嚴格限制允許上傳的文件類型：只允許上傳圖片、PDF等少數(shù)幾種明確安全的類型，并檢查文件擴展名和MIME類型（最好兩者都檢查，且不依賴客戶端檢查）。*驗證并轉(zhuǎn)義文件名：對用戶提供的文件名進行嚴格驗證，去除或替換路徑分隔符（如`/`,`\`），不使用用戶原始文件名作為存儲或處理依據(jù)。*使用隨機文件名存儲：服務(wù)器接收文件后，使用隨機生成的文件名保存，避免使用用戶輸入的文件名。*存儲在非Web可執(zhí)行目錄：將上傳文件存儲在Web服務(wù)器進程無法直接執(zhí)行代碼的目錄下。*限制文件大?。合拗朴脩艨梢陨蟼鞯奈募淖畲蟪叽?。*掃描病毒：對上傳的文件進行病毒掃描。*設(shè)置正確的文件權(quán)限：為上傳目錄和文件設(shè)置合適的權(quán)限，例如僅允許Web服務(wù)器讀寫。五、編程題1.```pythonimporthashlibimportosimporthashlibfromhashlibimportpbkdf2_hmacdefhash_password(password:str,salt:str)->str:"""Hashapasswordwithasaltusingpbkdf2_hmac."""ifnotsalt:raiseValueError("Saltmustbeprovidedandnotempty.")ifnotpassword:raiseValueError("Passwordmustbeprovidedandnotempty.")hashAlgorithm='sha256'#Or'sha512'formorestrengthkey_length=32#Lengthoftheresultinghashinbytesiterations=100000#Numberofiterations#Combinepasswordandsaltpassword_salt=password.encode('utf-8')+salt.encode('utf-8')#Performthekeyderivationhash_bytes=pbkdf2_hmac(hash_algorithm,password_salt,salt.encode('utf-8'),#SaltusedastheHKDFextractkeyiterations,dklen=key_length)#Returnthehashasahexadecimalstringreturnhash_bytes.hex()```*(注：此代碼需要傳入一個密碼